vTPM(신뢰할 수 있는 가상 플랫폼 모듈) 기능을 사용하면 가상 시스템에 TPM 2.0 가상 암호화 프로세서를 추가할 수 있습니다.
신뢰할 수 있는 가상 플랫폼 모듈 개요
vTPM은 소프트웨어에서 암호화 보조 프로세서 기능을 수행합니다. 가상 시스템에 vTPM이 추가되면 게스트 운영 체제가 개인 키를 생성하고 저장할 수 있습니다. 이러한 키는 게스트 운영 체제에 노출되지 않습니다. 따라서 가상 시스템의 공격 표면이 감소합니다. 일반적으로 게스트 운영 체제가 손상되면 암호가 손상되지만 vTPM을 사용하도록 설정하면 이 위험이 크게 줄어듭니다. 이러한 키는 게스트 운영 체제에서 암호화 또는 서명 용도로만 사용할 수 있습니다. vTPM이 연결되어 있으면 타사에서 펌웨어 및 게스트 운영 체제의 ID를 원격으로 증명(검증)할 수 있습니다.
새 가상 시스템 또는 기존 가상 시스템에 vTPM을 추가할 수 있습니다. vTPM은 가상 시스템 암호화를 사용하여 중요한 TPM 데이터를 보호합니다. vTPM을 구성하면 VM 암호화를 통해 가상 시스템 파일이 자동으로 암호화되지만 디스크는 암호화되지 않습니다. 가상 시스템 및 해당 디스크에 대해 명시적으로 암호화를 추가하도록 선택할 수 있습니다.
또한 vTPM이 사용되도록 설정된 가상 시스템을 백업할 수 있습니다. 백업에는 *.nvram 파일을 비롯한 모든 가상 시스템 데이터를 포함해야 합니다. 백업에 *.nvram 파일이 포함되지 않은 경우 vTPM을 사용하는 가상 시스템을 복원할 수 없습니다. 또한 vTPM이 사용되도록 설정된 가상 시스템의 VM 홈 파일이 암호화되어 있기 때문에 복원 시 암호화 키를 사용할 수 있는지 확인합니다.
vTPM을 사용하기 위해 ESXi 호스트에 물리적 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 칩이 있을 필요가 없습니다. 하지만 호스트 증명을 수행하려는 경우 TPM 2.0 물리적 칩과 같은 외부 엔티티가 필요합니다. 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.
vTPM을 위한 요구 사항
vTPM을 사용하려면 vSphere 환경이 다음과 같은 요구 사항을 충족해야 합니다.
- 가상 시스템 요구 사항:
- EFI 펌웨어
- 하드웨어 버전 14
- 구성 요소 요구 사항:
- vCenter Server 6.7.
- 가상 시스템 암호화(가상 시스템 홈 파일 암호화)
- vCenter Server에 구성된 KMS(키 관리 서버)(가상 시스템 암호화는 KMS에 따라 다름) 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.
- 게스트 운영 체제 지원:
- Windows Server 2016(64비트)
- Windows 10(64비트)
하드웨어 TPM과 가상 TPM의 차이점
하드웨어 TPM(신뢰할 수 있는 플랫폼 모듈)은 자격 증명 또는 키의 안전한 저장을 위한 하드웨어 암호화 보조 프로세서로 사용됩니다. vTPM은 TPM과 동일한 기능을 수행하지만 소프트웨어 내에서 암호화 보조 프로세서 기능을 수행합니다. vTPM은 가상 시스템 암호화를 사용하여 암호화된 .nvram 파일을 보안 스토리지로 사용합니다.
하드웨어 TPM에는 EK(승인 키)라고 하는 미리 로드된 키가 포함됩니다. EK에는 개인 키와 공용 키가 있습니다. EK는 TPM에 고유한 ID를 제공합니다. vTPM의 경우 이 키는 VMCA(VMware Certificate Authority) 또는 타사 CA(인증 기관)에서 제공됩니다. vTPM에 키가 사용되는 경우 일반적으로 키가 변경되지 않습니다. 키를 변경할 경우 vTPM에 저장된 중요 정보가 무효화되기 때문입니다. vTPM은 CA에 다시 연결되지 않습니다.